Bulletin d'alerte Debian

DSA-4468-1 php-horde-form -- Mise à jour de sécurité

Date du rapport :
21 juin 2019
Paquets concernés :
php-horde-form
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 930321.
Dans le dictionnaire CVE du Mitre : CVE-2019-9858.
Plus de précisions :

Une vulnérabilité de traversée de répertoires, due à un paramètre POST non vérifié, a été découverte dans php-horde-form, un paquet fournissant le rendu et la validation de formulaire et d'autres fonctionnalités pour le cadriciel d'application Horde. Un attaquant peut tirer avantage de ce défaut pour l'exécution distante de code.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 2.0.15-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets php-horde-form.

Pour disposer d'un état détaillé sur la sécurité de php-horde-form, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/php-horde-form.